Awas, Ada Celah Keamanan Berbahaya pada TikTok

Ilustrasi. (Foto: Unsplash)

Uzone.id - Tim pengembang peranti lunak baru saja menemukan celah keamanan berbahaya pada TikTok. Celah tersebut memungkinkan seorang peretas untuk mengganti video di semua akun yang mereka mau.

Konsekuensinya, kalian bisa saja melihat video aneh di feed TikTok kalian yang diunggah orang lain. Tim pengembang yang beranggotakan Tommy Misk dan Talal Haj Bakri menjelaskan, TikTok menggunakan Content Delivery Networks agar transfer data mereka lebih efektif di seluruh dunia. Agar performanya lebih baik, CDN mentransfer data melalui HTTP.

Di sinilah masalahnya dimulai karena TikTok belum mengimplementasikan transfer data yang terenkripsi alias HTTPS.

Baca juga: Deretan Animasi Google Doodle untuk Apresiasi Pejuang Pandemi Corona

"Semua router antara aplikasi TikTok dan CDN TikTok bisa dengan mudah membuat daftar video yang telah pengguna unduh dan tonton, memperlihatkan riwayat tontontan mereka," kata Mysk dan Bakry. "Operator WiFi publik, ISP, dan lembaga intelijen bisa mengumpulkan data ini dengan mudah."

Sebagai informasi, Apple dan Google, sebenarnya sudah mengharuskan aplikasi untuk mengenkripsi data dengan HTTPS, namun ada pengecualian untuk pengembang yang memilih HTTP.

Karena TikTok mentransfer data seperti video dan foto profil melalui HTTP, pengembang menemukan bahwa hal itu rawan disusupi peretas dengan metode yang disebut man-in-the-middle attacks. Penjelasan sederhananya, mereka bisa mengganti konten saat pengguna sedang mengunggah dan menggantikannya dengan video apa pun yang mereka mau.

Baca juga: Meeting Online Pakai UMeetMe, Ini Cara Share Screen dan Video YouTube

Mysk dan Bakry membuktikan ucapannya dengan mencontohkan bagaimana mereka dengan mudah membagi misinformasi soal coronavirus ke akun World Health Organization (WHO). Mereka juga berhasil melakukan hal serupa ke akun terverifikasi lainnya, Palang Merah Internasional.

Walau kelihatannya sederhana, proses peretasan tersebut sebenarnya agak rumit. Sebab, Mysk dan Bakry pertama-tama harus mengecoh aplikasi TikTok untuk mengirim data ke server yang telah mereka buat yang menyerupai CDN resmi TikTok.

"Hal ini bisa dilakukan orang yang punya akses langsung ke router yang terhubung dengan pengguna," kata mereka. Artinya, seorang pengguna TikTok harus terhubung dengan router di rumah atau di perkantoran.